米Googleのセキュリティチーム「Project Zero」が、ゼロデイ脆弱(ぜいじゃく)性の発見から修正プログラムの提供までにかかった時間をベンダーごとにまとめた報告書を公開した。Project Zeroは、ゼロデイ脆弱性の発見と、それの悪用を難しいものにすることを任務とするチームであり、独自にゼロデイ脆弱性を発見して関係ベンダーに通知し、修正を促している。
ベンダーには90日の時間を与えており、それまでに修正プログラムを提供できれば、提供後に脆弱性の情報を公開している。提供できない場合は90日経ったところで脆弱性の情報を公開しているが、ベンダーが修正プログラムを提供を確約すれば14日間の猶予期間を与えている。
今回の報告書は、以上の方針で活動を始めた2019年から2021年までの各ベンダーの成績をまとめたものだ。
ベンダー | 脆弱性の数 | 90日の間に提供 | 猶予期間に提供 | 超過 | 提供までの平均日数 |
---|---|---|---|---|---|
Apple | 84 | 73(87%) | 7(8%) | 4(5%) | 69 |
Microsoft | 80 | 61(76%) | 15(19%) | 4(5%) | 83 |
56 | 53(95%) | 2(4%) | 1(2%) | 44 | |
Linux | 25 | 24(96%) | 0(0%) | 1(4%) | 25 |
Adobe | 19 | 15(79%) | 4(21%) | 0(0%) | 65 |
Mozilla | 10 | 9(90%) | 1(10%) | 0(0%) | 46 |
Samsung | 10 | 8(80%) | 2(20%) | 0(0%) | 72 |
Oracle | 7 | 3(43%) | 0(0%) | 4(57%) | 109 |
その他 | 55 | 48(87%) | 3(5%) | 4(7%) | 44 |
合計 | 346 | 294(84%) | 34(10%) | 18(5%) | 61 |
2019年〜2021年までに見つかった脆弱性と、修正までにかかった時間をベンダーごとにまとめた表 |
上記の表を見ると、全体の84%の脆弱性に通知から90日以内に修正プログラムが提供されており、残りについてもほぼ全てが猶予期間内に修正プログラムの提供が済んでいる。修正プログラム提供までの平均日数をみると、唯一Oracleだけが109日となっており、90日の期限を過ぎているが、3年間で通知された脆弱性の数が7件にとどまっていることに注意が必要だ。脆弱性の数がはるかに多い上位ベンダーと直接は比較しにくい。
脆弱性の数で上位を占めるApple(84)、Microsoft(80)、Google(56)の3社を見ると、修正プログラムの提供までの平均日数はMicrosoftが83日で最長となっており、続いてApple(69日)、Google(44日)の順になっている。
特筆すべきはLinuxだ。脆弱性の数は上位3社に続く25件だが、修正プログラムの提供までの平均日数は今回の調査で最短の25日になっている。ただし、上位3社がOSの他に多種多様なプログラムを提供しているのに対し、LinuxはOSだけを開発していること、大手ITベンダーがLinuxの開発や修正のためにこぞって人員を提供していることに留意する必要がある。
ベンダー | 2019 | 2020 | 2021 |
---|---|---|---|
Apple | 61(71日) | 13(63日) | 11(64日) |
Microsoft | 46(85日) | 18(87日) | 16(76日) |
26(49日) | 13(22日) | 17(53日) | |
Linux | 12(32日) | 8(22日) | 5(15日) |
その他 | 54(63日) | 35(54日) | 14(29日) |
合計 | 199(67日) | 87(54日) | 63(52日) |
各ベンダーの脆弱性の数を1年ごとにまとめた表。カッコ内は脆弱性の通知から修正プログラム提供までの平均日数 |
上位3社にLinuxを加えて1年ごとの成績を示したのが上記の表だ。この表を見ると各社の1年ごとの改善度合いが見える。各社とも脆弱性の数は2019年から2020年の間に大きく改善しており、2020年から2021年の間も小幅ながら改善している。
脆弱性通知から修正プログラムの提供までの平均日数を見ると、全体的に1年ごとに改善が進んでいることが分かる。ただし、Googleだけは2019年から2020年の間に改善しながら(49日→22日)、2020年から2021年(53日)の間に悪化している。
合計を見ると脆弱性の数は1年ごとに減少し(199日→87日→63日)、通知から修正プログラムの提供までの平均日数も短縮している(67日→54日→52日)。全体的な傾向としては良い方向に向かっていると言える。
報告書は、毎年改善が続く傾向について、各メーカーに責任ある情報開示方針が業界の標準になってきていることが理由になっているのではないかと推測している。さらに、各社がお互いに他社の良いやり方を学び合っていることも大きな理由だと見ている。
Copyright © ITmedia, Inc. All Rights Reserved.